안녕하세요. 도깬리 포렌식스 입니다.^^
오늘은 파일의 식별자인 시그너처(File Signature)에 대해 알아 봅시다. 파일 시그너처는 파일 카빙으로 복구하기 위해서 꼭 필요한 정보이죠. 그리고 확장자 변경 여부를 탐지하기 위한 중요한 정보이기도 합니다. 자, 시작합니다.
파일 시그너처 (File Signature)
파일 유형의 표준은 ISO(국제표준화기구)와 ITU-T(국제전기통신연합 산하 전기통신표준화 부문)에서 정합니다.
파일 헤더(File Header)는 파일의 확장자(File Extention)와 관련 있습니다.
윈도우의 경우, 파일 확장자로 파일 유형(File Types)을 결정하여 해당 응용프로그램과 연결시켜 줍니다.
EnCase에서 파일 확장자에 대한 변경 여부 판별 방법
파일 시그너처를 파일 확장자와 비교한 후, 그것들을 파일 시그너처 테이블과 다시 비교하는 방법으로 판별합니다.
파일 시그너처는 File Type Table에 저장됨
hwp 관련 주의 사항(EnCase 7 기준임)
hwp의 경우, EnCase 설치시 시그너처가 비어 있는 상태일 겁니다.
그러나 hwp의 시그너처는 Compound Document File에 등록되어 있습니다.
따라서, EnCase 설치 상태에서 그대로 시그너처 분석을 하게 되면, hwp는 시그너처가 CDF의 시그너처와 일치하지만, 확장자가 불일치(CDF 엔트리의 파일 확장자로 hwp가 등록되어 있지 않기 때문)하여, 그 결과 모든 아래 한글 파일이 Alias로 해석되어 모두 확장자가 변조된 것으로 잘못 분석되는 결과를 초래합니다.
결국 이것을 예방하기 위해서는 hwp도 CDF 포맷의 한 유형이므로, CDF 엔트리에 hwp 확장자를 추가하거나, 아니면 hwp 엔트리의 비어 있는 시그너처에 CDF의 시그너처를 추가하면 됩니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (1)
'EnCase' 카테고리의 다른 글
| [EnCase] 파일 시그너처 분석 (File Signature Analysis) (3) (0) | 2022.02.08 |
|---|---|
| [EnCase] 파일 시그너처 분석 (File Signature Analysis) (2) (0) | 2022.02.07 |
| [EnCase] 복사 옵션 (Copy Options) (0) | 2022.02.05 |
| [EnCase] 외부 뷰어 (External Viewer) (0) | 2022.02.04 |
| [EnCase] 파일 타입 (File Types) (0) | 2022.02.03 |